linux禁用root

linux禁用root

    • 1. 禁止普通用户切换到root
      • 1.1 sudo -i和sudo -s的区别
      • 1.2 sudo -i和直接登录root账号的区别
      • 1.3 禁止sudo -i切换root
      • 1.4 禁止su - root切换root
    • 2. 禁止root远程登录
      • 2.1 ssh禁止root登录
      • 2.2 禁止远程桌面登录

在这里插入图片描述

本文主要介绍:

  1. 如何禁止普通用户切换到root
  2. 如何禁止使用root远程登录

1. 禁止普通用户切换到root

普通用户可以通过两个命令切换到root,包括:

sudo -i
su - xxx

以及一个伪切换sudo -s

1.1 sudo -i和sudo -s的区别

  • sudo -i:这个命令会加载用户的.profile, .bash_profile .login文件,并切换到目标用户的home目录,通常是root用户的目录。这允许用户以root用户的完整环境运行命令,包括所有的环境变量和配置。因此,当使用sudo -i时,用户会获得一个类似于登录root用户的环境,包括root的环境变量。
yurq@yurq:~$ sudo -i
root@yurq:~# env
SHELL=/bin/bash
SUDO_GID=1000
LANGUAGE=zh_CN:zh
JAVA_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202
JRE_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/lib
SUDO_COMMAND=/bin/bash
SUDO_USER=yurq
PDSH_RCMD_TYPE=ssh
PWD=/root
LOGNAME=root
HOME=/root
LANG=zh_CN.UTF-8
HADOOP_USER_NAME=hadoop
LESSCLOSE=/usr/bin/lesspipe %s %s
TERM=xterm
HADOOP_HOME=/home/hadoop/workspace/hadoop-2.7.7
LESSOPEN=| /usr/bin/lesspipe %s
USER=root
ZOOKEEPER_HOME=/home/hadoop/workspace/apache-zookeeper-3.7.1-bin
DISPLAY=localhost:10.0
SHLVL=1
SPARK_HOME=/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/desktop
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin:/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/bin:/home/hadoop/workspace/hadoop-2.7.7/bin:/home/hadoop/workspace/hadoop-2.7.7/sbin:/home/hadoop/workspace/apache-zookeeper-3.7.1-bin/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/sbin
SUDO_UID=1000
MAIL=/var/mail/root
_=/usr/bin/env
root@yurq:/home/yurq# id
用户id=0(root) 组id=0(root)=0(root)
  • sudo -s:这个命令不会加载用户的配置文件,也不会切换到目标用户的home目录。它只是提供一个没有加载用户特定配置的root shell。这意味着,虽然用户可以在这个shell中执行命令,但不会享受到完整的root环境,例如不会加载root的环境变量。这通常会带来一些问题,比如xjjdog用户下设置了自己的一套环境变量,当使用 su -s 切换到超级管理员权限,依然使用的是xjjdog的环境变量。这样,就会发生找不到命令,语言错误,甚至配置错误的结果。
yurq@yurq:~$ sudo -s
root@yurq:/home/yurq# env
SHELL=/bin/bash
SUDO_GID=1000
LANGUAGE=zh_CN:zh
SUDO_COMMAND=/bin/bash
SUDO_USER=yurq
PWD=/home/yurq
LOGNAME=root
HOME=/root
LANG=zh_CN.UTF-8
...
LESSCLOSE=/usr/bin/lesspipe %s %s
TERM=xterm
LESSOPEN=| /usr/bin/lesspipe %s
USER=root
DISPLAY=localhost:10.0
SHLVL=1
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin
SUDO_UID=1000
MAIL=/var/mail/root
_=/usr/bin/env
root@yurq:/home/yurq# id
用户id=0(root) 组id=0(root)=0(root)

1.2 sudo -i和直接登录root账号的区别

  • 直接登录root:‌意味着用户完全切换到了root的身份和环境,‌拥有对系统的完全控制权。‌这种做法通常只在必要时才应该进行,‌因为它可能会带来安全风险,‌因为任何在root用户环境下进行的操作都可能对系统造成不可逆的影响。‌

使用sudo -i相比直接登录为root,‌提供了更高的安全性。‌因为即使是以root权限运行命令,‌用户也仍然在自己的用户环境中,‌这减少了误操作或恶意软件对系统的潜在损害。‌此外,‌sudo命令的使用记录会被详细记录在日志中,‌这对于追踪潜在的安全威胁或系统故障非常有用

root@yurq:~# env
SHELL=/bin/bash
LANGUAGE=zh_CN:zh
JAVA_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202
JRE_HOME=/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/lib
PDSH_RCMD_TYPE=ssh
PWD=/root
LOGNAME=root
XDG_SESSION_TYPE=tty
MOTD_SHOWN=pam
HOME=/root
LANG=zh_CN.UTF-8
HADOOP_USER_NAME=hadoop
LESSCLOSE=/usr/bin/lesspipe %s %s
XDG_SESSION_CLASS=user
TERM=xterm
HADOOP_HOME=/home/hadoop/workspace/hadoop-2.7.7
LESSOPEN=| /usr/bin/lesspipe %s
USER=root
ZOOKEEPER_HOME=/home/hadoop/workspace/apache-zookeeper-3.7.1-bin
DISPLAY=localhost:10.0
SHLVL=1
SPARK_HOME=/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7
XDG_SESSION_ID=15
XDG_RUNTIME_DIR=/run/user/0
SSH_CLIENT=192.168.79.1 61751 22
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/desktop
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin:/home/hadoop/workspace/jdk-8u202-linux-x64/jdk1.8.0_202/bin:/home/hadoop/workspace/hadoop-2.7.7/bin:/home/hadoop/workspace/hadoop-2.7.7/sbin:/home/hadoop/workspace/apache-zookeeper-3.7.1-bin/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/bin:/home/hadoop/workspace/spark-2.4.8-bin-hadoop2.7/sbin
DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/0/bus
SSH_TTY=/dev/pts/0
_=/usr/bin/env

1.3 禁止sudo -i切换root

sudo命令的配置文件是/etc/sudoers/etc/sudoers.d/,可以在/etc/sudoers.d目录中单独配置用户的sudo命令限制,类似vsftp单独配置每个账号

ubuntu默认普通用户是无法切换root

lvdd@yurq:~$ sudo -i
[sudo] lvdd 的密码:
lvdd 不在 sudoers 文件中。此事将被报告。

我们可以通过修改/etc/sudoers/etc/sudoers.d/进行配置,但是一般来说不能通过vim直接修改,因为默认无权限,即使是root

root@yurq:~# ll /etc/sudoers
-r--r----- 1 root root 917 724 11:39 /etc/sudoers

这里linux给我们提供了visudo命令,专门用于修改这个文件,不过虽然看起来像是vi命令,实际上是nano编辑器进行修改的。新增内容如下

root@yurq:~# grep lvdd /etc/sudoers
lvdd    ALL=(ALL:ALL) ALL

关于/etc/sudoers的编写格式,网上有很多讲解,这里不展开了

lvdd@yurq:~$ sudo -i
[sudo] lvdd 的密码:
root@yurq:~# 

sudo -i切换root需要输入当前用户的密码。改完了直接就生效了。

ubuntu如果禁止sudo -i可以切换用户,那么就要看看这个配置文件是否对普通用户进行了特殊配置。

这里我们改回去,在/etc/sudoers.d目录中配置用户信息

root@yurq:~# grep lvdd /etc/sudoers
#lvdd    ALL=(ALL:ALL) ALL#切换终端
lvdd@yurq:~$ sudo -i
lvdd 不在 sudoers 文件中。此事将被报告。

新增配置文件lvdd

root@yurq:/etc/sudoers.d# cat lvdd
lvdd    ALL=(ALL:ALL) ALL#切换终端
lvdd@yurq:~$ sudo -i
root@yurq:~#

又可以切换了。

1.4 禁止su - root切换root

lvdd@yurq:~$ su - root
密码:
root@yurq:~# 

前面提到sudo -切换root需要输入当前用户的密码,使用su - 切换root需要输入root密码。这个看起来像一个伪命题,因为我们都知道root密码了,还切换干嘛,不如直接登录了。实际上后面将提到,通过ssh登录,即使知道root密码,也可以禁止登录。毕竟大多数时候,我们都接触不到物理机。这里我们只研究可行性,暂时不讨论合理性。

这里简单介绍以下su命令带不带参的区别

  • su:‌这个命令允许用户切换到其他用户,‌但它不会加载目标用户的环境变量。‌这意味着,‌当你使用su命令切换到另一个用户时,‌你实际上是在当前用户的环境中运行目标用户的shell,‌而不是在目标用户的环境中运行。‌
  • su -:‌这个命令允许用户切换到另一个用户,‌并且会加载目标用户的环境变量。‌当你使用su -命令切换到另一个用户时,‌你会在目标用户的环境中运行,‌这意味着你会获得该用户所有的环境变量和配置。‌
  • su -c:‌这个命令允许你在切换到另一个用户的同时执行一个命令,‌然后立即返回到原始用户。‌这意味着你可以以其他用户的身份运行一个命令,‌而不需要实际切换到那个用户。‌例如,‌如果你想要以root用户的身份运行一个命令,‌但不想切换到root用户,‌你可以使用su -c 'command'的形式来执行。‌
lvdd@yurq:~$ su -c "tail -1 /etc/passwd" root
密码:
lvdd:x:1001:1007::/home/lvdd:/bin/bash

这里有多种方法禁止su切换到root,基本上大同小异,笔者列举两种方法:

方法一 修改su的权限

root@yurq:/etc/sudoers.d# ll /bin/su
-rwsr-xr-x 1 root root 67816 49 23:34 /bin/su*
root@yurq:/etc/sudoers.d# chmod 750 /bin/su
root@yurq:/etc/sudoers.d# ll /bin/su
-rwxr-x--- 1 root root 67816 49 23:34 /bin/su*
lvdd@yurq:~$ su - root
-bash: /usr/bin/su: 权限不够
lvdd@yurq:~$ su - yurq
-bash: /usr/bin/su: 权限不够

这样可以仅允许root用户和所属组的用户使用su命令,其他用户将无法使用。改回原来的权限

root@yurq:/etc/sudoers.d# chmod 4755 /bin/su
root@yurq:/etc/sudoers.d# ll /bin/su
-rwsr-xr-x 1 root root 67816 49 23:34 /bin/su*

方法二 修改认证条件

root@yurq:/etc/sudoers.d# grep auth /etc/pam.d/su
auth       sufficient pam_rootok.so debug
auth       required   pam_wheel.so group=wheel

这样设置后,‌只有wheel组的成员才能使用su -命令切换到root用户。‌

lvdd@yurq:~$ su - root
密码:
su: 认证失败

添加组及修改用户附加组

root@yurq:/etc/sudoers.d# groupadd wheel
root@yurq:/etc/sudoers.d# usermod -G wheel lvdd
lvdd@yurq:~$ su - root
密码:
root@yurq:~#

lvdd又可以愉快的切换root了。

到这里ubuntu系统就可以禁止或允许普通用户通过su进行切换root了,不过有的系统可能还需要作如下修改

修改/etc/login.defs文件,‌在文件末添加一行SU_WHEEL_ONLY yes,‌这样配置后,‌非wheel组的用户即使输入了正确的密码,‌也无法通过su -命令切换到root用户。‌

这里关于认证模块,可以参考linux PAM模块简介

2. 禁止root远程登录

前面说到了知道root密码,还使用普通用户切换root干什么?直接登录不好么。其实有些情况下,即使知道root密码也不可以通过远程登录。这里包括通过ssh进行命令行登录和远程桌面登录,下面我们分别进行说明

2.1 ssh禁止root登录

我们通过修改ssh的配置文件/etc/ssh/sshd_config,禁止root登录

root@yurq:/etc/sudoers.d# grep PermitRootLogin /etc/ssh/sshd_config
PermitRootLogin prohibit-password

可以看到ubuntu默认是禁止root使用密码登录的。

 PermitRootLoginSpecifies whether root can log in using ssh(1).  The argument must be yes, prohibit-password, forced-commands-only, or no.  The default isprohibit-password.

查看帮助,可以知道PermitRootLogin 选项的值包括:

参数类别是否允许ssh登陆登录方式交互shell
yes允许没有限制没有限制
prohibit-password (without-password)允许除密码以外没有限制
forced-commands-only允许仅允许使用密钥仅允许已授权的命令
no不允许N/AN/A

改成yes就可以登录了

root@yurq:/etc/sudoers.d# grep PermitRootLogin /etc/ssh/sshd_config
PermitRootLogin yes

ssh配置文件简介,这篇文章很详细的介绍了sshd_config

2.2 禁止远程桌面登录

ubuntu系统root默认是无法远程桌面的,所以要禁止,先开启

  1. 修改文件/usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf文件,增加两行:
sudo vi /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf greeter-show-manual-login=true 
all-guest=false 
  1. 进入/etc/pam.d目录,修改gdm-autologin和gdm-password文件
vi gdm-autologin 
#注释掉auth required pam_succeed_if.so user != root quiet_success这一行,保存 
vi gdm-password 
#注释掉 auth required pam_succeed_if.so user != root quiet_success这一行,保存
  1. 修改/root/.profile文件
sudo vi /root/.profile 
#将文件末尾的mesg n || true这一行修改成tty -s&&mesg n || true, 保存
  1. 重启系统,输入root用户名和密码,登录系统。
  2. root自动登录
vim /etc/gdm3/custom.conf
#将[daemon]
AutomaticLoginEnable=True
AutomaticLogin=root
#设置为root用户自动登录

可以根据以上配置,对已开启允许root的远程桌面的系统进行限制。当然不同的系统,不同的桌面系统配置可能不同,此处仅以ubuntu的gnome桌面为例进行说明。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/48938.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java---后端事务管理

代码世界聚眸光,昼夜敲盘思绪长。 算法心间精构建,编程路上细思量。 屏前架构乾坤定,键上飞驰智慧扬。 默默耕耘成果现,创新科技铸辉煌。 目录 一,概念 二,Spring事务管理 三,rollbackFor事务回…

运维锅总浅析Kubernetes之Ceph

Ceph 的核心组件有哪些?Ceph读写数据流程及故障自愈是怎样的?如何对Ceph部署架构进行调优?如何用Ceph集成到kubernetes?希望本文能帮您解答这些疑惑! 一、Ceph简介 Ceph 是一个开源的分布式存储系统,旨在…

PySide(PyQt)使用QPropertyAnimation制作动态界面

主脚本: # encoding: utf-8 import os import sysfrom PySide6.QtCore import QPropertyAnimation, QEasingCurvefrom UIS import *# 主画面类 class MainWindow(QMainWindow, animationButton_ui.Ui_MainWindow):def __init__(self):super().__init__()self.setup…

韩顺平0基础学Java——第37天

p736-758 MySQL三层结构 1.所谓安装Mysql数据库,就是在主机安装一个数据库管理系统(DBMS),这个管理程序可以管理多个数据库。DBMS(database manage system) 2.一个数据库中可以创建多个表,以保存数据(信息)。 3.数据库管理系统(DBMS)、数据库和表的关系…

Android 性能之刷新率设置和管理

目录 1. 刷新率和帧率 2. 多种刷新率 3. 基本原理 3.1 屏幕 & 显示控制器 3.2 Composer Service 4. Framework 策略 4.1基本架构 4.2 刷新率设置项的定义 4.2.1 最低刷新率 4.2.2 默认刷新率 & 默认的用户设置刷新率 4.2.2.1 设置入口 4.2.2.2 设置场景 4…

从零开始:在linux系统安装MongoDB数据完整指南 新手常用命令

1 前言 MongoDB 是为快速开发互联网应用而设计的数据库系统。MongoDB 的设计目标是极简、灵活、作为 Web 应用栈的一部分。MongoDB 的数据模型是面向文档的,所谓文档是一种类似于json的结构。 官网教程:https://www.mongodb.com/docs/manual/ 2 安装部…

【接口自动化_11课_框架实战:基于封装的框架进行实战演练-下】

目标: 在原有基础上进行框架优化,本内容不做强制要求,了解即可。 1. Faker(伪造器)模块生成数据 2. 实战:结合框架动态生成请求数据 3. 实战:响应进行动态断言处理 一、 Faker&#xff…

LoFTR关键点特征匹配算法环境构建与图像匹配测试Demo

0,LoFTR CVPR 2021论文《LoFTR: Detector-Free Local Feature Matching with Transformers》开源代码 1,项目主页 LoFTR: Detector-Free Local Feature Matching with Transformers 2,GItHub主页 GitHub - zju3dv/LoFTR: Code for "…

微软蓝屏事件对企业数字化转型有什么影响?

引言:从北京时间2024年7月19日(周五)下午2点多开始,全球大量Windows用户出现电脑崩溃、蓝屏死机、无法重启等情况。事发后,网络安全公司CrowdStrike称,收到大量关于Windows电脑出现蓝屏报告,公司…

畅游时空|虚拟世界初体验,元宇宙游戏如何开发?

在元宇宙中,用户可以通过虚拟身份进行互动、社交、工作和娱乐,体验与现实世界平行的生活和活动。元宇宙不仅仅是一个虚拟空间,更是一个融合了虚拟和现实的生态系统,具有巨大的发展潜力和应用前景。 在不断发展的数字环境中&#x…

简单几步,教你使用scikit-learn做分类和回归预测

前言 scikit-learn是基于Python的一个机器学习库,你可以在scikit-learn库中选择合适的模型,使用它训练数据集并对新数据集作出预测。 对于初学者来说,有一个共同的困惑: 怎么使用scikit-learn库中的模型做预测? 本文…

IOS微软语音转文本,lame压缩音频

在IOS开发中,用微软进行语音转文本操作,并将录音文件压缩后返回 项目中遇到了利用微软SDK进行实时录音转文本操作,如果操作失败,那么就利用原始音频文件通过网络请求操作,最终这份文件上传到阿里云保存,考…

MongoDB教程(十五):MongoDB原子操作

💝💝💝首先,欢迎各位来到我的博客,很高兴能够在这里和您见面!希望您在这里不仅可以有所收获,同时也能感受到一份轻松欢乐的氛围,祝你生活愉快! 文章目录 引言一、MongoD…

11 深度推荐模型演化中的“范式替换“灵活组合

上一课时,我们介绍了 DIEN 模型添加了 RNN中 的 GRU,使模型获得了对序列数据的建模能力;而 DSIN 模型不仅使用了 RNN 中的 bi-LSTM,还使用了 Transformer 组件。 由此可见,在新的演化模型中,根据场景和数据…

Lua脚本简单理解

目录 1.安装 2.语法 2.1Lua数据类型 2.2变量 2.3lua循环 2.4流程控制 2.5函数 2.6运算符 2.7关系运算符 3.lua脚本在redis中的使用 3.1lua脚本再redis简单编写 3.2普通锁Lua脚本 3.3可重入锁lua脚本 1.安装 centos安装 安装指令: yum -y update yum i…

本地部署VMware ESXi服务实现无公网IP远程访问管理服务器

文章目录 前言1. 下载安装ESXi2. 安装Cpolar工具3. 配置ESXi公网地址4. 远程访问ESXi5. 固定ESXi公网地址 前言 在虚拟化技术日益成熟的今天,VMware ESXi以其卓越的性能和稳定性,成为了众多企业构建虚拟化环境的首选。然而,随着远程办公和跨…

CCS光源的高输出TH2系列平面光源

光源在机器视觉系统中起着重要作用,不同环境、场景及应用合适光源都不一样,今天我们来看看高输出TH2系列平面光源。它可以对应高速化的生产线,为提高生产效率做出贡献。 TH2系列光源的特点: 1、实现了更高一级的高亮度 实现了更…

谷粒商城实战笔记-56~57-商品服务-API-三级分类-修改-拖拽功能完成

文章目录 一,56-商品服务-API-三级分类-修改-拖拽功能完成二,57-商品服务-API-三级分类-修改-批量拖拽效果1,增加按钮2,多次拖拽一次保存完整代码 在构建商品服务API中的三级分类修改功能时,拖拽排序是一个直观且高效的…

Java | Leetcode Java题解之第260题只出现一次的数字III

题目: 题解: class Solution {public int[] singleNumber(int[] nums) {int xorsum 0;for (int num : nums) {xorsum ^ num;}// 防止溢出int lsb (xorsum Integer.MIN_VALUE ? xorsum : xorsum & (-xorsum));int type1 0, type2 0;for (int n…

Prometheus配置alertmanager告警

1、拉取镜像并运行 1、配置docker镜像源 [rootlocalhost ~]# vim /etc/docker/daemon.json {"registry-mirrors": ["https://dfaad.mirror.aliyuncs.com"] } [rootlocalhost ~]# systemctl daemon-reload [rootlocalhost ~]# systemctl restart docker2、…